Segretario                                 logo                                 Folco

Home     Redazione     Msoi Torino     Archivio



Cookies e privacy alla prova della Corte di Giustizia dell’UE

Il primo ottobre la Grand Chamber della Corte di Giustizia dell’Unione Europea si è pronunciata su un’importante questione concernente l’uso dei cookies da parte dei web browser. Per la prima volta dall’entrata in vigore del General Data Protection Regulation (GDPR), che ha sostituito la Data Protection Directive, la Corte si è concentrata sul significato della nozione di “consenso” dettata dalla e-Privacy Directive.

I cookies sono piccoli file, creati dai siti web, che vengono memorizzati sui dispositivi degli utenti per tracciarne le attività online e identificarne il profilo, principalmente per scopi di pubblicità. Contengono un grande numero di dati relativi all’utente e di conseguenza, in certe circostanze, possono essere considerati dati personali, soggetti al GDPR ed alla ePrivacy Directive.

Esistono cookies di varie tipologie: si possono dividere in cookies di sessione e persistenti, oppure in cookies di first-party e di third-party. I primi si differenziano sulla base della durata dell’attività di tracciamento: da un lato, quelli di sessione si conservano per il tempo in cui l’utente è online, cioè finché il browser è operativo. Dall’altro, i cookies persistenti perdurano oltre la singola sessione di browsing, ma comunque non oltre i 12 mesi, come riportato dalla ePrivacy Directive. I cookies persistenti, però, continuano a restare collegati al dispositivo fin quando l’utente non si attiva per eliminarli. 

La seconda categoria viene definita a seconda di chi posiziona il cookies sul sito web. I first-party vengono utilizzati dallo stesso sito che in quel momento si sta visitando. I third-party, invece, vengono posizionati da siti esterni, in particolare nei casi in cui il sito web in cui si sta navigando incorpori elementi di altre piattaforme, come immagini o collegamenti con i social network. Ad esempio, quelle pagine che permettono di condividere automaticamente i contenuti su Facebook probabilmente consentono l’attivazione di cookies ad esse collegati.

Inoltre, i cookies si dividono anche a seconda dell’obiettivo per il quale vengono utilizzati. Ci sono cookies strettamente necessari per garantire i servizi del sito, per i quali non è necessario esprimere il proprio consenso. I cookies funzionali, che permettono ad esempio di memorizzare username e password al fine di accedere automaticamente. Esistono poi i cookies statistici, che raccolgono informazioni sulle nostre attività online in modo anonimo. Infine, i cookies di marketing, spesso installati da terze parti per la creazione di inserzioni pubblicitarie personalizzate.

Il GDPR menziona espressamente i cookies nel ‘considerando’ numero 30, dove si specifica che questa tecnologia può essere utilizzata se si è ottenuto il consenso dell’utente o se sussiste un legittimo interesse in capo ai soggetti che posizionano i cookies. La normativa specifica sull’utilizzo dei cookies è contenuta nella ePrivacy Directive, altresì conosciuta come cookies law, la quale richiede che l’utente dia il proprio consenso dopo che gli siano state fornite informazioni chiare e complete sul tracciamento delle sue attività in rete.

In questo contesto legislativo si inserisce la pronuncia della Corte dello scorso ottobre. In particolare, essa ha prodotto una riflessione sul significato del consenso. Esso veniva definito dalla Data Protection Directive come una specifica indicazione attraverso cui l’utente manifesta inequivocabilmente il proprio accordo all’elaborazione dei propri dati personali. In questo modo, secondo la Corte, anche nel regime GDPR è necessario che l’utente si attivi per manifestare il consenso anziché rimanere passivo. I giudici del Lussemburgo hanno fatto riferimento alla nozione di consenso del ‘considerando’ numero 32 del GDPR, il quale fornisce indicazioni ancora più specifiche: dare il consenso significa selezionare una casella sul sito web in questione e, allo stesso tempo, preclude il silenzio, le caselle preselezionate e l’inattività dell’utente. Così, attraverso questa sentenza diviene pacifico come il consenso ai sensi della ePrivacy Directive vada ricondotto alla nozione contenuta nel GDPR. 

Inoltre, la Corte ha spiegato quali informazioni devono essere comunicate all’utente nel momento in cui gli viene chiesto di esprimere il proprio consenso. Così, oltre a quelle elencate dalla Data Protection Directive e poi dal GDPR, ha aggiunto la durata dell’attività di tracciamento da parte dei cookies, in quanto maggiore è la durata più grande è la quantità di informazioni raccolte. Questa decisione assume una notevole importanza nell’ambito della ePrivacy Directive. Proprio in questo periodo stanno circolando le prima bozze della proposta del nuovo ePrivacy Regulation, il quale sostituirebbe l’attuale direttiva.  In questo modo, le regole concernenti il consenso e l’utilizzo dei cookies potrebbero subire un ulteriore cambiamento. 

In ultima analisi è opportuno sottolineare come, in questa fase di riforma nell’ambito della tutela dei diritti digitali e della privacy, l’Unione Europea, e quindi gli stati membri, abbiano scelto di adottare un diverso standard normativo, passando dalla direttiva al regolamento. Nel 2016 la Data protection Directive fu sostituita dal Regolamento GDP e prossimamente la ePrivacy Directive potrebbe essere rimpiazzata da un Regolamento, così eliminando ogni ambito di discrezionalità in capo agli stati membri  nell’attuazione della normativa europea. 

Questa tendenza è sicuramente sintomo dell’importanza rivestita dalla normativa sui dati personali e della necessità di creare un corpus a livello sovranazionale che possa competere con i grandi protagonisti e sfruttatori di questi dati.